Ein Rechtssystem ist ein empfindliches Wesen. Jeder einzelne, von einem Gericht entschiedene Fall ist ein Schmetterlingsflügelschlag, der als Präzedenzfall unabsehbare Folgen haben und einen wahren Orkan auslösen kann. Zudem ist aber oft seltsam, wie Richter urteilen und dabei die Rechtstexte, Gesetze, Richtlinien und Verordnungen, anscheinend vollkommen neu erfinden. Das zeigt sich nun auch in einem Fall zwischen der EU-Provinz Rumänien und den leitungsbefugten EU-Richtern in Luxemburg.

Doch von vorne: Publi24.ro ist ein bunt gemischtes Anzeigenportal. Man findet dort ebenso Verkaufsanzeigen für Arbeitsgerät wie für Häuser. Daneben scheint das Portal ein beliebter Umschlagplatz für den rumänischen Schweinehandel zu sein. Landschweine und große Sauen werden dort gleichermaßen angeboten. Und dann scheint sich jemand einen üblen Scherz erlaubt zu haben, der zudem gar nicht lustig gemeint war. Er oder sie veröffentlichte eine Anzeige, in welcher sich die spätere Klägerin angeblich für sexuelle Dienste anbot. Dazu gab es echte Bilder der Frau und ihre Rufnummer. Das war natürlich misslich. Das Portal kam der Löschaufforderung der Geschmähten daher umgehend nach.

Das reichte der Frau aber nicht. Sie klagte gegen den Website-Betreiber, die Russmedia SRL (=GmbH) zusammen mit der Inform Media Press SRL, und bekam in erster Instanz 7000 Euro Schadensersatz. Das Berufungsgericht hob dieses Urteil auf. Das Gericht dritter Instanz bemerkte schließlich, dass hier ein Normenkonflikt innerhalb des EU-Rechts vorlag und überwies den Fall samt einigen Fragen nach Luxemburg. Und so begann das Unglück.

Ende der Anonymität, stattdessen Identitätszwang

Es geht um einen Widerspruch zwischen dem vielkritisierten Digital Services Act (DSA), der Plattformbetreiber ausdrücklich von der Haftung für die geteilten Inhalte befreit, (DSGVO) der EU, die die Anbieter für alle von ihnen verarbeiteten Daten verantwortlich macht. Ein typischer Fall von Unschärfe, die sich immer wieder in den Rechtsakten der EU findet, manchmal sogar in ein und demselben Text. Aber in sich widersprüchliche Rechtsnormen gestatten letztlich die absolute Willkür, wie auch das nun ergangene EuGH-Urteil zeigt. Das am 2. Dezember ergangene Russmedia-Urteil des EuGH (C-492/23) könnte sehr weitreichende Folgen für Online-Plattformen in der EU haben.

Es könnte das Ende der Anonymität im Netz sein, stattdessen Identitätszwang. Das Ende auch von „reiner Durchleitung“ auf Plattformen wie Facebook, X und anderen Internet-Foren und der Beginn einer „allgemeinen Überwachungspflicht“ (Vorabprüfung), die die EU in verschiedenen Gesetzestexten immer weit von sich gewiesen hatte – auch wenn sie beharrlich immer neue Schritte in genau diese Richtung tut.

Der EuGH hat das Zugeständnis aus dem DSA – das noch aus der vorangehenden E-Commerce-Richtlinie von 2000 stammt – schlicht zurückgenommen. Nicht mehr der Verfasser eines Posts oder einer Online-Anzeige soll für dieselben verantwortlich sein, sondern nun auch die Plattformen. Die müssen die Identitäten aller Nutzer kennen und bereithalten, sobald diese „sensible Daten“ posten könnten. Also immer.

Datenschutz als heiliger, aber hohler Gral

Das Kuriose ist aber, dass die beiden EU-Texte sogar das Gegenteil der EuGH-Entscheidung nahelegen. In der Datenschutz-Grundverordnung von 2016 (Artikel 2, Absatz 4) heißt es, ihre Regelungen ließen die Anwendungsbestimmungen der älteren E-Commerce-Richtlinie aus dem Jahr 2000 (heute im DSA aufgegangen) „unberührt“. Die Richter zitieren das sogar, verkehren den Satz aber in sein Gegenteil. Der genannte DSGVO-Absatz (Art. 2, 4) sei so zu verstehen, dass nicht automatisch ausgeschlossen sei, dass sich ein „Wirtschaftsteilnehmer in anderen Fragen als solchen, die den Schutz personenbezogener Daten betreffen, auf die Art. 12 bis 15 der Richtlinie 2000/31 berufen kann“. Der „Schutz personenbezogener Daten“ wird hier zum heiligen Gral der Rechtsprechung erklärt, der wichtiger als andere Normen sein soll.

Dabei trägt der Artikel 12 der konkurrierenden E-Commerce-Richtlinie 2000/31 bezeichnenderweise den Titel „Reine Durchleitung“. Darin heißt es: „Die Mitgliedstaaten stellen sicher, daß im Fall eines Dienstes der Informationsgesellschaft, der darin besteht, von einem Nutzer eingegebene Informationen in einem Kommunikationsnetz zu übermitteln oder Zugang zu einem Kommunikationsnetz zu vermitteln, der Diensteanbieter nicht für die übermittelten Informationen verantwortlich ist“, solange die Plattform nicht selbst die Übermittlung veranlasst hat und die übermittelten Information nicht auswählt oder verändert. Im Artikel 15 wird bestätigt, dass es „keine allgemeine Überwachungspflicht“ gibt. Diese Artikel wurden später zu den Artikeln 4 bis 8 des Digitale-Dienste-Gesetzes (DDG oder DSA). Erst danach folgen die inzwischen berühmt-berüchtigten „Anordnungen zum Vorgehen gegen rechtswidrige Inhalte“. Die Betreiber sind zum Vorgehen nur dann verpflichtet, wenn sie eine rechtlich begründete Anordnung der nationalen Justiz- oder Verwaltungsbehörden erhalten.

Kurzum: Wo im Text der DSGVO von „unberührt lassen“ die Rede ist, schlagen die Richter eine Einschränkung der älteren Richtlinie durch die neuere Verordnung vor. Aber welche Formulierung gilt nun wirklich? Der Gesetzestext oder der Richterspruch? De facto wird der Datenschutz vom EuGH verabsolutiert und damit nahezu in sich selbst aufgelöst.

EuGH mobilisiert „Datenschutz“ für umfassende Überwachung im Netz

Plattformbetreiber sollen nun dazu verpflichtet sein, auf den Plattformen veröffentlichte Inhalte vorab – „proaktiv“! – zu prüfen. Dabei soll es vor allem um „sensible Daten“ wie die sexuelle Orientierung, politische oder religiöse Ansichten, Informationen über die ethnische Herkunft oder über Erkrankungen gehen. Jeder Post, jede Kleinanzeige, jeder X-Tweet müssten künftig auf solche Eigenschaftszuschreibungen durchsucht werden. Wenn eine Veröffentlichung solche sensiblen Daten enthält, muss die Identität des Nutzers eindeutig ermittelt werden – von der Plattform, und dieselbe muss diese Daten für eine bestimmte (aber unbekannte) Zeit vorhalten.

Es könnte also künftig niemand mehr anonym über seine eigenen Erkrankungen im Netz schreiben, etwa in einer Selbsthilfegruppe. Vielmehr müsste er sich zuvor gegenüber der Plattform identifizieren. Und das scheint schon fast unabwendbar. Denn den Urteilen des EuGH können nur durch eingelegte Rechtsmittel beim Gerichtshof selbst abgeholfen werden. Der EuGH erkennt nationale Gerichte nicht als über ihm stehend oder gleichberechtigt an.

Und das nächste Paradox – das die Datenschutzverordnung gewissermaßen von innen heraus sabotiert – lugt bereits um die Ecke: Die Plattform ist damit im Besitz neuer sensibler Daten, die es ohne die Anwendung der DSGVO gar nicht gäbe. Das ist natürlich bei jedem Akt der Kontrolle so, immer entstehen Daten, die es vorher nicht gab und deren sichere Aufbewahrung im Grunde wieder kontrolliert werden müsste. Nur hält sich der Staatenblock EU dabei noch vornehm heraus.

Insgesamt ist es der Weg in ein vollständig überwachtes und kontrolliertes Netz, in dem niemand mehr etwas anonym tun kann, auch wenn dem im normalen Recht nichts entgegenstehen würde. Er tut ja nichts Unrechtes, indem er seinen Namen nicht angibt. Nicht zuletzt lohnt die Erinnerung: In dem rumänischen Fall ging es ja eigentlich gar nicht um Datenschutz, sondern um die Offenlegung einer Identität und den Schutz vor übler Nachrede. Der EuGH mobilisiert also die DSGVO für einen Zweck, der der Verordnung fernsteht. Der „Datenschutz“ wird damit der umfassenden Überwachung im Netz und der Strafverfolgung dienlich gemacht. Auch der Datenschutz ist offenbar kein Allheilmittel der informationellen Selbstbestimmung und schützt nicht immer vor dem Verlust des Rechts an den eigenen Daten, das hier in seinem Namen verkündet wird.